SCC Enterprise - Urgent Posture Findings Connector 會將所有發現項目匯入案件,但您可能會發現特定發現項目與專案無關,或指出預期行為。在這種情況下,微不足道的發現項目可能會使資安分析師的工作量過於複雜,並妨礙分析師有效回應重要安全漏洞。您可以將 Security Command Center Enterprise 中現有的無關發現項目設為靜音,避免系統不斷通知您。
將案件的調查結果設為靜音後,這些結果就不會顯示在案件中。您可以對案件執行手動動作,大量將調查結果設為靜音,也可以對特定快訊執行手動動作,將個別調查結果設為靜音。
忽略多個發現項目
如果略過案件中的所有發現項目,Security Command Center 會自動結案。
如要將案件中的多項發現事項設為靜音,請完成下列步驟:
- 在 Google Cloud 控制台中,開啟「風險」>「案件」。
- 選取包含要忽略的發現項目的案件。
- 在「案件總覽」分頁中,按一下「手動動作」。
- 在手動動作的「Search」(搜尋) 欄位中,輸入
Update Finding。 在「GoogleSecurityCommandCenter」整合服務下方的搜尋結果中,選取「Update Finding」(更新發現事項) 動作。系統會開啟動作對話方塊。
根據預設,「Run on Alerts」參數會設為「All Alerts」值。
選用:如要變更「Run on Alerts」參數的預設設定,請從下拉式清單中選取相關的發現類型。
如要設定「尋找名稱」參數,請輸入下列預留位置:
[Alert.TicketID]系統會根據所選快訊,動態擷取對應的發現項目名稱。
如要忽略發現項目,請將「忽略狀態」參數設為「忽略」。
點選「Execute」。
忽略個別發現項目
如要將個別發現事項設為靜音,您必須對案件中的特定快訊執行「更新發現事項」動作。這項操作不會影響案件中的其他快訊。
如要將個別發現項目設為靜音,請完成下列步驟:
- 在 Google Cloud 控制台,依序前往「風險」>「案件」,開啟 Security Operations 控制台的「案件清單」頁面。
- 選取包含要忽略的發現項目的案件。
- 在案件中,選取要忽略的發現項目所屬的快訊。
- 在快訊中,前往「事件」分頁。
- 如要從事件中擷取「發現項目名稱」,請按一下「查看更多」,即可開啟事件的詳細檢視畫面。
- 在「醒目顯示的欄位」部分下方,找出「名稱」欄位名稱。按一下該欄位的值,即可查看完整發現項目名稱。
複製完整發現項目名稱值,格式如下:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID在所選快訊的「快訊總覽」分頁中,按一下「手動操作」。
在手動動作的「Search」(搜尋) 欄位中,輸入
Update Finding。在「GoogleSecurityCommandCenter」整合服務下方的搜尋結果中,選取「Update Finding」(更新發現事項) 動作。系統會開啟動作對話方塊。
根據預設,「Run on Alerts」參數會設為所選快訊值。
如要設定「發現項目名稱」參數,請貼上從事件詳細資料檢視畫面複製的「名稱」值。
如要將發現項目設為靜音,請將「靜音狀態」參數設為「靜音」。
點選「Execute」。
後續步驟
詳情請參閱 Google SecOps 說明文件中的案件。